调查资源类型

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

注意

如果你是美国政府客户,请使用 适用于美国政府客户的 Microsoft Defender for Endpoint 中列出的 URI。

提示

为了提高性能,可以使用离地理位置更近的服务器:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

表示 Defender for Endpoint 中的自动调查实体。

有关详细信息,请参阅 自动调查概述

方法

方法 返回类型 说明
列出调查 调查收集 获取调查集合
获取单个调查 调查实体 获取单个调查实体。
启动调查 调查实体 在设备上启动调查。

属性

属性 类型 说明
ID String 调查实体的标识。
startTime DateTime 可为 Null 创建调查的日期和时间。
endTime DateTime 可为 Null 调查完成的日期和时间。
cancelledBy String 取消调查的用户/应用程序的 ID。
状态 枚举 调查的当前状态。 可能的值为:“Unknown”、“Terminated”、“SuccessfullyRemediated”、 “Benign”、“Failed”、“PartiallyRemediated”、“Running”、“PendingApproval”、“PendingResource”、“PartiallyInvestigated”、“TerminatedByUser”、“TerminatedBySystem”、“Queued”、“InnerFailure”、“PreexistingAlert”、“UnsupportedOs”、“UnsupportedAlertType”、“SuppressedAlert”。
statusDetails String 有关调查状态的其他信息。
machineId String 执行调查的设备 ID。
computerDnsName String 执行调查的设备的名称。
triggeringAlertId String 触发调查的警报的 ID。

Json 表示形式

{
    "id": "63004",
    "startTime": "2020-01-06T13:05:15Z",
    "endTime": null,
    "state": "Running",
    "cancelledBy": null,
    "statusDetails": null,
    "machineId": "e828a0624ed33f919db541065190d2f75e50a071",
    "computerDnsName": "desktop-test123",
    "triggeringAlertId": "da637139127150012465_1011995739"
}

提示

想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区